TSUE: Zasady przetwarzania danych osobowych w e-commerce

2 tygodni temu

1. Wprowadzenie

Wyrok TSUE z 4.10.2024 r. C-21/23, Legalis, podkreślił istotne kwestie związane z ochroną danych osobowych w sektorze e-commerce. Orzeczenie to ma szczególne znaczenie dla przedsiębiorców prowadzących działalność w zakresie sprzedaży internetowej, zwłaszcza w kontekście przetwarzania danych osobowych klientów. TSUE jednoznacznie wskazał, iż przetwarzanie danych takich jak imię, nazwisko oraz nazwa zamawianego produktu, w szczególności leków, wymaga uzyskania wyraźnej zgody osoby, której dane dotyczą. Aktualnie wyrok odnosi się do internetowej sprzedaży produktów leczniczych, w tym leków niewymagających recepty, jednak jego skutki mogą wykraczać poza sektor farmaceutyczny.

2. Konsekwencje dla branży e-commerce

Przyjęta przez TSUE interpretacja może prowadzić do konieczności dostosowania praktyk przetwarzania danych osobowych przez przedsiębiorców działających w obszarze e-commerce. Dotyczy to przede wszystkim:

  • Sklepów internetowych,
  • Platform sprzedażowych,
  • Podmiotów prowadzących działalność w zakresie obrotu produktami leczniczymi,
  • Innych podmiotów przetwarzających dane o produktach mogących ujawniać informacje dotyczące zdrowia klientów.

Podmioty te mogą być zobligowane do wdrożenia nowych mechanizmów przetwarzania danych, w tym szczególnych środków mających na celu zapewnienie zgodności z zasadami RODO. Przetwarzanie danych szczególnej kategorii, takich jak informacje dotyczące zdrowia, wymaga bowiem szczególnej ostrożności oraz przejrzystości procesów przetwarzania. W konsekwencji konieczne może być opracowanie nowych polityk ochrony prywatności, przeprowadzenie audytów wewnętrznych oraz wdrożenie dodatkowych środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych.

3. Kontekst prawny wyroku

Wyrok został wydany w odpowiedzi na pytanie prejudycjalne złożone przez Bundesgerichtshof (Federalny Trybunał Sprawiedliwości Niemiec). Głównym zagadnieniem poddanym ocenie TSUE było wprowadzanie do obrotu produktów leczniczych przez farmaceutów za pośrednictwem platform internetowych oraz związane z tym obowiązki w zakresie ochrony danych osobowych zgodnie z przepisami RODO. Trybunał orzekł, iż RODO nie stoi na przeszkodzie regulacjom krajowym, które pozwalają konkurentom podmiotu naruszającego przepisy ochrony danych osobowych na zakwestionowanie tych działań przed sądem jako nieuczciwej praktyki handlowej.

Jednocześnie TSUE zwrócił uwagę na szeroką interpretację pojęcia danych osobowych w kontekście informacji dotyczących zdrowia. Trybunał uznał, iż choćby o ile zakup produktu leczniczego nie wskazuje wprost na stan zdrowia klienta, to możliwość powiązania danej osoby z określonym lekiem lub jego zastosowaniem może stanowić podstawę do objęcia tych informacji szczególną ochroną.

4. Skutki wyroku dla prawa w Polsce

Wyrok C-21/23 może wywołać istotne konsekwencje w polskim porządku prawnym, szczególnie w obszarze regulacji dotyczących ochrony danych osobowych. W związku z tym Urząd Ochrony Danych Osobowych (UODO) może podjąć działania zmierzające do intensyfikacji kontroli podmiotów działających w sektorze e-commerce, ze szczególnym uwzględnieniem:

  • Weryfikacji podstaw prawnych przetwarzania danych osobowych w sklepach internetowych, zwłaszcza w przypadku działalności podmiotów medycznych prowadzących sprzedaż online.
  • Oceny stosowania zasad privacy by design i privacy by default w systemach informatycznych wykorzystywanych w handlu elektronicznym.
  • Egzekwowania obowiązków informacyjnych wobec użytkowników zgodnie z art. 13 i 14 rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 2016 Nr 119, s. 1).
  • Monitorowania działań przedsiębiorców pod kątem ryzyka przetwarzania danych osobowych mogących wskazywać na stan zdrowia klientów.

Przedsiębiorcy powinni zwrócić szczególną uwagę na dostosowanie mechanizmów ochrony danych do wymagań RODO, aby uniknąć ryzyka nałożenia administracyjnych kar finansowych, które mogą sięgać choćby 20 mln euro lub 4% rocznego obrotu. Ponadto, wdrożenie odpowiednich procedur ochrony danych może przyczynić się do zwiększenia zaufania klientów i poprawy reputacji firmy.

5. Stanowisko UODO oraz GIF

W kontekście wyroku TSUE stanowisko zajął Główny Inspektor Farmaceutyczny (GIF), który podkreślił obowiązek aptek internetowych w zakresie przestrzegania przepisów RODO, w szczególności dotyczących przetwarzania danych osobowych klientów. Wskazano na konieczność zapewnienia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych przed nieuprawnionym dostępem oraz innymi zagrożeniami.

Ponadto GIF zwrócił uwagę na obowiązek uzyskania wyraźnej zgody klientów na przetwarzanie ich danych osobowych w celach marketingowych oraz konieczność informowania ich o przysługujących im prawach, takich jak prawo dostępu do danych czy prawo do ich usunięcia. Przedsiębiorcy prowadzący apteki internetowe powinni regularnie monitorować i aktualizować swoje procedury ochrony danych, aby zapewnić ich zgodność z obowiązującymi przepisami oraz orzecznictwem TSUE.

Obecnie brak jest jednoznacznego stanowiska UODO w zakresie potencjalnego wpływu wyroku TSUE na całą branżę e-commerce. Istnieje jednak wysokie prawdopodobieństwo, iż dane dotyczące imienia, nazwiska oraz nazwy zakupionego produktu mogą zostać uznane za dane szczególnej kategorii, o ile umożliwiają identyfikację osoby oraz wywnioskowanie informacji o jej stanie zdrowia.

6. Podsumowanie

Wyrok C-21/23 stanowi istotny punkt odniesienia dla przedsiębiorców działających w sektorze e-commerce, szeroko idąca interpretacja może wymuszać na przedsiębiorcach działających w szeroko rozumianej branży e-commerce dostosowanie praktyk przetwarzania danych osobowych do wymagań RODO. Tak więc może okazać się, iż Przedsiębiorcy prowadzący nie tylko internetową sprzedaż leków powinni zwrócić uwagę na:

  • konieczność uzyskiwania wyraźnych zgód na przetwarzanie danych,
  • stosowanie zasad privacy by design i privacy by default,
  • zapewnienie przejrzystości procesów przetwarzania danych osobowych,
  • regularne monitorowanie i aktualizowanie polityk ochrony danych.

Dostosowanie działalności do nowych wymagań nie tylko może zminimalizować ryzyko sankcji, ale także przyczynić się do zwiększenia poziomu ochrony danych osobowych klientów oraz wzmocnienia ich zaufania do usługodawców.

Wyrok Trybunału Sprawiedliwości z 4.10.2024 r., C-21/23, Legalis

Idź do oryginalnego materiału
  1. Strona główna
  2. RODO i dane osobowe
  3. TSUE: Zasady przetwarzania danych osobowych w e-commerce

Powiązane

Jego skrzynkę zalewały maile z reklamami. Postanowił walczyć. "Wystarczyły 2-3 maile"

Jego skrzynkę zalewały maile z reklamami. Postanowił walczyć...

10 godzin temu
To nie mail od ZUS. Uważaj, w co klikasz

To nie mail od ZUS. Uważaj, w co klikasz

17 godzin temu
Ważne zmiany dotyczące biletów okresowych w transporcie publicznym. Co będzie z kartami miejskimi i biletami okresowymi?

Ważne zmiany dotyczące biletów okresowych w transporcie publ...

1 dzień temu
Na co uważać, wystawiając i wydając świadectwo pracy?

Na co uważać, wystawiając i wydając świadectwo pracy?

1 dzień temu
Zmiana nazwiska a wpis do księgi wieczystej

Zmiana nazwiska a wpis do księgi wieczystej

2 dni temu
Nowe regulacje DORA wyzwaniem dla sektora finansowego – raporty muszą trafić do KNF do końca kwietnia

Nowe regulacje DORA wyzwaniem dla sektora finansowego – rapo...

2 dni temu
Kolejny projekt ustawy implementującej dyrektywę NIS 2 – nowe wymagania regulacyjne coraz bliżej

Kolejny projekt ustawy implementującej dyrektywę NIS 2 – now...

2 dni temu
Prezes UODO nałożył karę za nieprawidłowe usytuowanie organizacyjne inspektora ochrony danych osobowych

Prezes UODO nałożył karę za nieprawidłowe usytuowanie organi...

2 dni temu
Nowe wytyczne UODO dotyczące zgłaszania naruszeń danych osobowych

Nowe wytyczne UODO dotyczące zgłaszania naruszeń danych osob...

2 dni temu